Cenário das Fraudes e do Spam no Brasil Aritana Pinheiro Falconi falconi@cert.br Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil Núcleo de Informação e Coordenação do Ponto br Comitê Gestor da Internet no Brasil USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 1/33
Sobre o CERT.br Criado em 1997 como ponto focal nacional para tratar incidentes de segurança relacionados com as redes conectadas à Internet no Brasil CERT.br Tratamento de Incidentes Articulação Apoio à recuperação Estatísticas Treinamento e Conscientização Cursos Palestras Documentação Reuniões Análise de Tendências Consórcio de Honeypots SpamPots http://www.cert.br/missao.html USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 2/33
Estrutura do CGI.br 01- Ministério da Ciência e Tecnologia 02- Ministério das Comunicações 03- Casa Civil da Presidência da República 04- Ministério do Planejamento, Orçamento e Gestão 05- Ministério do Desenvolvimento, Indústria e Comércio Exterior 06- Ministério da Defesa 07- Agência Nacional de Telecomunicações 08- Conselho Nacional de Desenvolvimento Científico e Tecnológico 09- Conselho Nacional de Secretários Estaduais para Assuntos de Ciência e Tecnologia 10- Notório Saber 11- Provedores de Acesso e Conteúdo 12- Provedores de Infra-estrutura de Telecomunicações 13- Indústria TICs (Tecnologia da Informação e Comunicação) e Software 14- Empresas Usuárias 15-18- Terceiro Setor 19-21- Academia USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 3/33
Atribuições do CGI.br Entre as diversas atribuições e responsabilidades definidas no Decreto Presidencial n o 4.829, destacam-se: a proposição de normas e procedimentos relativos à regulamentação das atividades na internet a recomendação de padrões e procedimentos técnicos operacionais para a internet no Brasil o estabelecimento de diretrizes estratégicas relacionadas ao uso e desenvolvimento da internet no Brasil a promoção de estudos e padrões técnicos para a segurança das redes e serviços no país a coordenação da atribuição de endereços internet (IPs) e do registro de nomes de domínios usando <.br> a coleta, organização e disseminação de informações sobre os serviços internet, incluindo indicadores e estatísticas USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 4/33
Agenda Fraudes Histórico e cenário atual Malware Phishing Spam Reclamações de spam enviadas ao CERT.br Abuso de Proxies em PCs Infectados Brasil na CBL Gerência de Porta 25 Prevenção Referências USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 5/33
USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 6/33 Fraudes
Histórico e cenário atual (1/2) 2001 Keyloggers enviados por e-mail, ataques de força bruta 2002 2003 Phishing e uso disseminado de DNSs comprometidos 2003 2004 Aumento dos casos de phishing mais sofisticados - Sites coletores: processamento/envio de dados p/ contas de e-mail 2005 2006 Spams em nome de diversas entidades/temas variados - Links para cavalos de tróia hospedados em diversos sites - Vítima raramente associa o spam com a fraude financeira 2007 downloads involuntários (via JavaScript, ActiveX, etc) - Continuidade das tendências de 2005 2006 USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 7/33
Histórico e cenário atual (2/2) 2008 hoje Continuidade das tendências de 2005 2007 downloads involuntários mais freqüentes, inclusive em grandes sites casos publicados na mídia nos últimos meses incluem: sites principais da Vivo, da Oi e da Ambev links patrocinados do Google usando a palavra banco e nomes de instituições como AdWords Malware modificando arquivo hosts antigo, mas ainda efetivo Malware modificando configuração de proxy em navegadores (arquivos PAC) Malware se registrando como Browser Helper Objects (BHO) em navegadores Malware validando, no site real, os dados capturados USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 8/33
Sistema de Monitoramento de Malware emails trojanfilter Extract suspicious URLs from emails sm2av Select new malware from malware s list Send malware copy to each AV vendor that does not detect the malware yet email with the malware copy malware files (confirmed) URLs trojancheck Fetch and store malware candidate Using AV, confirm if file is really a malware Create a list with the confirmed URLs istronline add new URLs Try to fetch malware in order to check if it is still online Update stats DB including the new date and status of the malware URL list entry IP, date, URL, AV signature notify Get IP contacts Create email with the list entry data and a email template Send notification asking to remove the malware email with the notification USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 9/33
Estatísticas de Malware (1/3) Tentativas de fraude tratadas envolvendo malware*: Categoria 2006 2007 2008 2009 2010-Q1 URLs únicas 25.087 19.981 17.376 10.864 2.798 Códigos maliciosos únicos (hashes únicos) 19.148 16.946 14.256 8.151 1.870 Assinaturas de Antivírus (únicas) 1.988 3.032 6.085 4.101 1.387 Assinaturas de Antivírus ( família ) 140 109 63 93 51 Extensões de arquivos usadas 73 112 112 100 46 Domínios 5.587 7.795 5.916 4.447 1.311 Endereços IP únicos 3.859 4.415 3.921 3.233 996 Países de origem 75 83 78 76 53 Emails de notificação enviados pelo CERT.br 18.839 17.483 15.499 9.935 2.236 (*) Incluem keyloggers, screen loggers, trojan downloaders não incluem bots/botnets, worms USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 10/33
Estatísticas de Malware (2/3) Taxas de Detecção dos Antivírus em 2009: AV Vendors Detection Rate (%) [2009-01-01 -- 2009-12-31] 100 80 60 11% dos antivírus detectaram mais de 80% dos exemplares 40 75% dos antivírus detectaram menos de 50% dos exemplares 20 0 01 02 03 04 05 06 07 08 09 10 11 12 Months (2009) Vendor K Vendor C Vendor AD Vendor Z Vendor F Vendor R Vendor M Vendor AM Vendor Q USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 11/33
Estatísticas de Malware (3/3) Malwares enviados para 25+ Antivírus em 2009: Trojan Samples Sent [2009-01-01 -- 2009-12-31] 900 800 700 600 500 400 300 200 100 Casos de fraude relacionados a malware reduziram 23% entre 2008 e 2009, mas aumentaram 14% do terceiro para o quarto trimestre de 2009 Casos de páginas de phishing aumentaram 112% do ano de 2008 para 2009 0 01 02 03 04 05 06 07 08 09 10 11 12 Months (2009) Vendor K Vendor C Vendor AD Vendor Z Vendor F Vendor R Vendor M Vendor AM Vendor Q reference USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 12/33
Sistema de Monitoramento de Phishing Phishing URLs data donation fetcher Download a copy of each phishing page Extract and store data in a DB Donate data to partners online cases refeed the system phishing data tester Update uptime Check status no status changed? closed cases archive yes no status is offline? validator IH manually checks the new status yes alert IH about the change USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 13/33
Estatísticas de Phishing (1/2) Tentativas de fraude tratadas envolvendo phishing em 2009 Casos total 3332 online 51 off-line 3281 bancos (BR) 1916 Alvos total 177 bancos (BR) 32 casos por tempo de vida <= 15 minutos (-15m) 24 <= 1 hora (-1h) 324 <= 6 horas (-6h) 765 <= 12 horas (-12h) 259 <= 1 dia (-1d) 361 <= 1 semana (-1s) 1100 > 1 semana (+1s) 499 URLs únicas 3215 Hashes únicos 1671 Domínios 1619 Endereços IP 1344 CIDRs 452 Países (CCs) 49 1d 10.8% 12h 7.8% tempo de vida Máximo 218d 05h 26m Mínimo 0d 00h 00m Média 4d 07h 12m Desvio padrão 11d 01h 25m 6h 23.0% 1h 9.7% 15m 0.7% +1s 15.0% 1s 33.0% USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 14/33
Estatísticas de Phishing (2/2) Tentativas de fraude tratadas envolvendo phishing em 2009 Bancos Brasileiros tempo de vida Máx. 149d 22h 06m Mín. 0d 00h 00m Média 4d 13h 54m D. P. 10d 13h 08m casos por tempo de vida <= 15 minutos (-15m) 9 <= 1 hora (-1h) 151 <= 6 horas (-6h) 416 <= 12 horas (-12h) 175 <= 1 dia (-1d) 216 <= 1 semana (-1s) 642 > 1 semana (+1s) 307 1d 11.3% 12h 9.1% 6h 21.7% 1h 7.9% 15m 0.5% +1s 16.0% 1s 33.5% 6h 24.6% Outras Entidades tempo de vida Máx 218d 05h 26m Mín. 0d 00h 00m Média 3d 22h 09m D. P. 11d 17h 46m casos por tempo de vida <= 15 minutos (-15m) 15 <= 1 hora (-1h) 173 <= 6 horas (-6h) 349 <= 12 horas (-12h) 84 <= 1 dia (-1d) 145 <= 1 semana (-1s) 458 > 1 semana (+1s) 192 12h 5.9% 1d 10.2% 1h 12.2% 15m 1.1% +1s 13.6% 1s 32.3% USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 15/33
USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 16/33 Spam
Reclamações de spam enviadas ao CERT.br USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 17/33
Abuso de Proxies em PCs Infectados USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 18/33
Brasil na CBL Country Codes com maior número de IPs listados CC Total % Rank IN 1.333.118 16.12 1 BR 719.101 8.69 2 VN 430.888 5.21 3 RU 396.295 4.79 4 DE 340.522 4.12 5 UA 271.198 3.28 6 US 265.782 3.21 7 IT 239.722 2.90 8 SA 232.668 2.81 9 CO 215.089 2.60 10 Domínios (reverso) com maior número de IPs listados Domínio Total % Rank telebahia.net.br (OI) 226.924 2.74 4 brasiltelecom.net.br (OI) 120.981 1.46 9 telesp.com.br 115.771 1.40 10 ig.com.br 51.590 0.62 33 netservicos.com.br 51.385 0.62 34 telet.com.br (Claro) 45.154 0.55 37 gvt.net.br 41.323 0.50 43 ctbctelecom.net.br 12.800 0.15 114 timbrasil.com.br 11.654 0.14 124 canbrasnet.com.br 10.366 0.13 144 Dados gerados em: Mon May 17 11:02:47 2010 UTC/GMT Composite Blocking List http://cbl.abuseat.org/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 19/33
Resultados do Projeto SpamPots Métricas sobre o Abuso de Redes de Banda Larga para o Envio de Spam Período de coleta 10/06/2006 a 18/09/2007 Dias coletados 466 Total de emails 524.585.779 Emails/dia 1,2 milhões Destinatários 4.805.521.964 Destinatários/spam 9,16 IPs únicos 216.888 ASNs únicos 3.006 Country Codes 165 Principais Resultados: 99.84% das conexões eram originadas do exterior os spammers consumiam toda a banda de upload disponível; mais de 90% dos spams eram destinados a redes de outros países. Projeto mantido pelo CGI.br/NIC.br, como parte da CT-Spam 10 sensores (honeypots de baixa interatividade) 5 operadoras diferentes de cabo e DSL em conexões residenciais e comerciais http://www.cert.br/docs/whitepapers/spampots/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 20/33
Primergy Primergy Primergy Primergy Primergy Primergy Abuso - Cenário Atual Spammers Fraudadores Malware Redes Residenciais (DSL, Cabo, Dial up, etc) 1080/TCP Provedores de E mail dos Remetentes (MTAs) Provedor de E mail A Provedores de E mail dos Destinatários (MTAs) Provedor de E mail X 8000/TCP Provedor de E mail B Provedor de E mail Y 6588/TCP 3382/TCP 80/TCP 80/TCP Provedor de E mail C Provedor de E mail Z USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 21/33
Ações para Redução do Problema USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 22/33
Ações para Redução do Problema Ações por parte das Operadoras de Telecomunicações e Provedores de Acesso à Internet Implementar, em ação coordenada, a Gerência de Porta 25 Ações por parte dos Usuários de Serviços de E-mail Alterar suas configurações de e-mail, conforme instruções de seu provedor de e-mail Seguir as recomendações de segurança para evitar a infecção de seus computadores USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 23/33
Gerência de Porta 25 Diferenciar a submissão de e-mails do cliente para o servidor, da transmissão de e-mails entre servidores. Implementação depende da aplicação de medidas por provedores e operadoras: Provedores de serviços de correio eletrônico: Implementar o padrão de Message Submission, tipicamente na porta 587/TCP (RFC 4409), e implementar SMTP autenticado Operadoras de banda larga/dial up de perfil residencial (usuário final): Impedir envio direto de mensagens eletrônicas (através da filtragem da saída de tráfego com destino à porta ) Detalhes em: http://www.antispam.br/admin/porta25/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 24/33
Primergy Primergy Primergy Primergy Primergy Primergy Gerência de Porta 25 e seu Impacto Spammers Fraudadores Malware Redes Residenciais (DSL, Cabo, Dial up, etc) Provedores de E mail dos Remetentes 587/TCP (MSA) Provedores de E mail dos Destinatários 1080/TCP 8000/TCP 587/TCP (MSA) 587/TCP (MSA) Provedor de E mail B Provedor de E mail A (MTA) (MTA) (MTA) (MTA) (MTA) (MTA) Provedor de E mail X Provedor de E mail Y 6588/TCP 3382/TCP 80/TCP (MSA) 80/TCP (MSA) (MTA) Provedor de E mail C (MTA) Provedor de E mail Z USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 25/33
Benefícios da Gerência de Porta 25 Melhores condições de utilização da rede há melhores condições de utilização da rede com a redução do desperdício de banda para o envio de spam sobram mais recursos computacionais para o usuário legítimo pelo fato do computador ser menos abusado Melhor qualidade de serviço de e-mail como atua na submissão, antes da mensagem entrar na infra-estrutura de e-mail dos provedores, tem o potencial de aliviar a carga e melhorar a qualidade de serviço para o usuário USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 26/33
USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 27/33 Prevenção
O Que Fazer para se Prevenir Instalar a última versão e aplicar as correções de segurança (patches) sistema operacional (checar horário da atualização automática) aplicativos (navegador, proc. de textos, leitor de e-mails, visualizador de imagens, PDFs e vídeos, etc) Hardware (firmware de switches, bases wireless, etc) Utilizar Programas de Segurança firewall pessoal antivírus (atualizar as assinaturas diariamente) anti-spyware anti-spam extensões e plugins em navegadores (gerência de JavaScript, cookies, etc) USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 28/33
Melhorar a Postura On-line (1/2) Não acessar sites ou seguir links recebidos por e-mail ou por serviços de mensagem instantânea em páginas sobre as quais não se saiba a procedência Receber um link ou arquivo de pessoa ou instituição conhecida não é garantia de confiabilidade códigos maliciosos se propagam a partir das contas de máquinas infectadas fraudadores se fazem passar por instituições confiáveis Não fornecer em páginas Web, blogs e sites de redes de relacionamentos: seus dados pessoais ou de familiares e amigos (e-mail, telefone, endereço, data de aniversário, etc) dados sobre o computador ou sobre softwares que utiliza informações sobre o seu cotidiano informações sensíveis (senhas e números de cartão de crédito) USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 29/33
Melhorar a Postura On-line (2/2) Precauções com contas e senhas utilizar uma senha diferente para cada serviço/site evitar senhas fáceis de adivinhar nome, sobrenomes, números de documentos, placas de carros, números de telefones, datas que possam ser relacionadas com você ou palavras que façam parte de dicionários usar uma senha composta de letras, números e símbolos utilizar o usuário Administrador ou root somente quando for estritamente necessário criar tantos usuários com privilégios normais, quantas forem as pessoas que utilizam seu computador USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 30/33
Informar-se e Manter-se Atualizado (1/2) http://cartilha.cert.br/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 31/33
Informar-se e Manter-se Atualizado (2/2) http://www.antispam.br/videos/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 32/33
Referências Esta Apresentação: http://www.cert.br/docs/palestras/ Antispam.br: Gerência de Porta 25 http://www.antispam.br/admin/porta25/ Resolução CGI.br/RES/2009/002/P: Recomendação para adoção de gerência de Porta 25 em redes de caráter residencial http://www.cgi.br/regulamentacao/resolucao2009-02.htm Comitê Gestor da Internet no Brasil CGI.br http://www.cgi.br/ Núcleo de Informação e Coordenação do Ponto br NIC.br http://www.nic.br/ Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil CERT.br http://www.cert.br/ USJT, SIMTECCE 2010, São Paulo Maio/2010 p. 33/33